Mach-O Man 攻撃、2024 年にデビュー
北朝鮮国家支援の Lazarus Group が新たな侵入手法「Mach-O Man 攻撃」を展開した。この手法は、一見普通のビジネス電話会話をハイジャックし、被害者ネットワークへの潜在的な侵入口として利用する。悪意のある Mach‑O バイナリ(macOS と iOS 用に設計されたコード)を配布することで、同グループは企業のワークステーションやモバイル端末を直接狙っている。この情報は CertiK のセキュリティ研究者が公表し、従来型の周辺防御を回避できる可能性があると警告している。
シンプルな電話がゲートウェイになる仕組み
一見無害に見える攻撃経路は次のようなものだ。営業担当が見込み客に電話をかける、あるいはサポート担当が定期的なチェックインのために電話をかける。通話中に攻撃者は対象に正規の文書(多くは PDF やスプレッドシート)に見せかけたファイルのダウンロードを促す。その裏では、隠蔽された Mach‑O ペイロードが含まれており、実行されると被害者の macOS または iOS システムにバックドアが開かれる。これは、ネットワークトラフィックを監視するファイアウォールを回避し、技術的な脆弱性ではなく人間の要素を狙う手法である。
macOS と iOS が主要な標的となる理由
IDC が 2023 年に公表したデータによると、Apple デバイスは世界のパーソナルコンピュータ市場の約 30% を占め、プレミアムセグメントのスマートフォンシェアは 50% 以上を握っている。その堅牢なセキュリティイメージから、企業は Apple 製品を脅威アクターにとって魅力が低いと考えがちだが、Mach‑O Man 攻撃はその甘い考えを覆す。Mach‑O バイナリはクロスプラットフォームで動作するため、1 つの悪意あるファイルがノートブックと iPhone の両方に影響を与え、被害規模を拡大させる。
従来の周辺防御を回避する方法
多くの企業のセキュリティスタックは、ネットワークエッジでの侵入防止システム、サンドボックス、URL フィルタリングなどに重点を置いている。しかし、Mach‑O Man 手法は暗号化された音声通話(VoIP)チャネルを介して悪意あるファイルを転送するため、これらの監視ツールは信頼できるトラフィックとして扱いがちだ。CertiK のシニアアナリスト、Ji‑Hoon Park は次のように説明している。「この攻撃はソーシャルエンジニアリングを利用してコードを直接エンドポイントに届けるため、ネットワーク中心の防御はほとんど効果がない。」この変化は、攻撃者がソフトウェアバグの利用から人間の行動操作へとシフトしているという業界全体のトレンドを示している。
企業が今すぐ取るべき対策
銀の弾は存在しないが、リスクを低減するための層的アプローチは有効である。以下のステップは実用的な出発点となるだろう:
- macOS と iOS デバイスすべてに対し、厳格なアプリケーション許可リスト(allow‑listing)を実装し、検証済みバイナリのみが実行できるようにする。
- リモートアクセス時には、初回接続が無害に見えても多要素認証(MFA)を必須とする。
- 予期しないコード署名証明書など、異常な Mach‑O アクティビティを検知できるエンドポイント検知・対応(EDR)ツールを導入する。
- 電話シナリオを組み込んだフィッシング・ソーシャルエンジニアリング訓練を定期的に実施し、ファイルの出所を必ず確認させる。
- Lazarus 系統のコマンド&コントロールドメインへの DNS クエリを監視する。2024 年のサイバートレンドレポートによれば、該当ドメインへの接続は前年同期比で 42% 増加している。
脅威環境に関する専門家の見解
Global Threat Institute のサイバーセキュリティベテラン、Dr. Maya Singh は次のように指摘している。「Mach‑O Man 攻撃は国家支援アクターの成熟度を示す。彼らはもはやランサムウェアだけで満足せず、Apple エコシステムのような高価値プラットフォームに長期的なスパイ活動拠点を築こうとしている。」同様の見解は Enterprise Security Forum の最近の調査でも確認でき、回答者の 68% が「電話